# VAULTWARDEN
## Produktiv-Vault (Self-Hosted):
- Software: Vaultwarden
- Zugriff:
  - LAN: HTTPS über lokalen Reverse Proxy (Caddy)
  - Internet: HTTPS über Pangolin-Tunnel
- Enthält:
  - alle regulären Zugänge
  - Organisationen / Secrets
- Risiko:
  - abhängig von Tunnel / Internet / Heimnetz

## Kritischer Eintrag:
Name:
  "Hetzner Login (NOTFALL manuell pflegen!)"

Zweck:
- Sichtbarer Hinweis bei JEDEM Login
- Erzwingt bewusste manuelle Pflege
  des Notfall-Zugangs


## NOTFALL-STRATEGIE

### Notfall-Passwortsafe:
- Software: KeePassXC
- Dateiformat: notfall.kdbx
- Plattformen:
  - Linux
  - Windows
- Speicherort:
  - verschlüsselter Cloud-Speicher => auf Schulcampus/Dokumente/Notfall/Notfall.kdbx
  - im U-Netz: Dokumente/Kram/Notfall
  - unabhängig vom Heimnetz / Tunnel

### Schutz:
- Starkes Master-Passwort (wie immer)

### Inhalt (bewusst minimal):
- Hetzner Login
- ggf. Hetzner Recovery Codes

------------
## Pflegeregel:
Wenn Hetzner-Passwort oder 2FA geändert wird:
  -> Eintrag in notfall.kdbx **MANUELL** auf **BEIDEN** Speichern aktualisieren

Keine Automatisierung! (Bewusste Entscheidung).


## DESIGN-ENTSCHEIDUNG
- Keine Admin-API-Exports aus Vaultwarden
- Keine Cronjobs mit sensiblen Tokens
- Keine Abhängigkeit von kostenpflichtigen Cloud-Abos
- Notfallzugang bewusst getrennt gehalten
----------
Fokus auf:
- Robustheit
- Transparenz
- Plattform-Kompatibilität
- Langfristige Wartbarkeit



## aktuelles Skript

```snippet
--8<-- "/docs/docker/vaultwarden/docker-compose.yml"
```


## Backup
=>  [Vaultwarden_backup](../vaultwarden_backup/vaultwarden_backup.md).